북한 정부가 후원하는 해킹그룹이 방위 산업 조직에서 민감한 정보를 유출하기 위한 새로운 스파이 활동을 하고 있다고 카스퍼스키가 발표했다.
카스퍼스키는 라자루스 그룹의 공격이 자금난에 빠진 북한 정권에 돈을 벌어주는 역할을 하고 있다고 전했다.
카스퍼스키 연구원들은 이번 전략적 이익 확대는 ThreatNeedle라는 멀웨어 도구를 활용해 2020년 초에 이루어졌다고 설명한다. 정교하게 준비된 스피어 피싱 공격으로 시작하는 다단계 접근 방식을 활용해 결국 공격자가 장치에 대한 원격 제어 권한을 얻게 된다는 것이다.
ThreatNeedle은 초기 감염 벡터로 악성 마이크로소프트 워드 첨부 파일이 포함된 코로나 관련 이메일로 대상에게 전달하고, 파일을 열면 시스템에서 추가 페이 로드를 다운로드, 실행하도록 설계된 악성코드가 포함된 매크로를 실행한다.
다음 단계에서 초기 정찰 기능을 제공하는 윈도우 백도어 내부에 악성 기능을 내장하고 측면 이동 및 데이터 유출을 위한 멀웨어를 배포해 작동한다.
ThreatNeedle 멀웨어는 피해자의 장치를 완전히 제어할 수 있다. 즉, 파일 조작에서 수신된 명령 실행에 이르기까지 모든 작업을 수행할 수 있다고 말한다.
카스퍼스키 측은 AppleJeus, DeathNote, Bookcode 등 다른 라자루스 클러스터와의 연결고리를 밝혀내는 것 외에 라자루스 그룹이 과거 암호화폐와 모바일 게임 업계를 상대로 한 해킹 캠페인에서 사용해온 또 다른 악성코드군인 Manuscrypt와 ThreatNeedle 사이에 중복되는 점들을 발견했다.
한편 Manuscrypt는 보안 커뮤니티를 표적으로 삼은 지난달 라자루스 그룹의 작전에서도 사용됐다. 연구원들이 개발한 취약점을 훔치기 위한 공격이었다.
◈2021 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최
K-CTI 2021, 국내 최고 권위의 정보보안 인텔리전스 정보 공유의 장
-날짜: 2021년 3월 9일(화) / 온라인 개최
-참석대상: 공공·기업 보안실무자 및 보안 분야 관계자
-교육이수: 보안교육 7시간 이수 가능(CISO/CPO/CISSP 등도 가능)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★